유명 웹3 개발 도구 사칭한 악성 npm 패키지 22종 확인
AI 에이전트가 호출하는 외부 도구와 프로젝트 지침 파일 악용 시도
[보안뉴스 한세희 기자] 이스트시큐리티(대표 정상원)는 웹 및 탈중앙화금융(DeFi) 개발자를 겨냥한 악성 npm 패키지 공격 캠페인을 포착했다고 27일 밝혔다.
이 공격은 악성 패키지 설치에 그치지 않고, AI 개발도구가 읽는 프로젝트 지침과 AI 에이전트가 호출하는 외부 도구까지 공격 경로로 활용하려 한 점이 특징이다.
▲공격자가 배포한 npm 패키지 일부 화면 캡쳐 이미지 [출처: 이스트시큐리티]
이스트시큐리티 보안기술연구소는 특정 공격자 계정이 6일 동안 22종의 악성 npm 패키지를 배포한 사실을 확인했다. 공격자는 하드햇(Hardhat), Ethers.js, 파운드리(Foundry) 등 실제 웹3 개발 환경에서 널리 쓰이는 도구명을 사칭해 악성 패키지를 위장했다. 깃허브에서도 다수의 위장 저장소와 정적 페이지를 구성해 정상 프로젝트처럼 보이도록 했다.
AI 개발도구 사용 환경을 겨냥한 정황도 확인됐다. 공격자는 MCP 기반 보안 감사 도구처럼 보이는 패키지를 제작, 개발자가 AI 에이전트에게 환경변수나 자격증명 점검을 요청하는 상황을 노렸다. 이 도구엔 호출할 때 입력값이나 프로젝트 메타데이터를 외부 웹훅으로 전송하는 코드가 포함돼 있었다.
또 저장소 설정 파일에 악의적 지시문을 삽입, 프로젝트 지침이 AI 작업 맥락에 반영될 경우 민감 정보를 외부로 보고하도록 유도하는 수법도 확인됐다. 이는 악성 코드 실행뿐 아니라 AI 개발도구가 읽는 지침 파일 자체도 공격 경로가 될 수 있음을 보여준다.
이번 캠페인에선 로컬 AI 서빙 환경을 정찰 대상으로 포함한 코드도 확인됐다. 일부 패키지는 사람 또는 AI 에이전트가 후속 스크립트를 실행하도록 유도했다. 이 스크립트엔 내부 네트워크에서 실행 중인 Ollama, 오픈웹UI(Open WebUI) 등 AI 서비스 엔드포인트를 탐색하고 프롬프트 주입을 시도하는 코드가 포함됐다. 다만 이 코드엔 구현 오류가 있어 실제 주입 성공 여부는 확인되지 않았다.
일부 페이로드에서는 수집 데이터를 일반 HTTP 요청 외에 DNS 질의 형태로 외부 전송하려는 코드도 확인됐다. 이는 네트워크 탐지를 우회하려는 시도로 분석된다. 이 공격을 통해 노출될 위험이 있는 정보는 개인키, 암호화폐 지갑 복구 구문, 거래소 API 키, SSH 키, 환경변수 등이다.
이러한 위협은 이스트시큐리티의 ‘AI 기반 자율 보안 운영 시스템’의 선제 탐지 기술을 통해 포착됐다. 이스트시큐리티 보안기술연구소는 연관 악성 패키지를 추가로 식별해 관련 오픈소스 생태계에 신고 조치했다. 아울러 △패키지 설치 여부 전수 점검 △노출 가능성 있는 자격증명 교체 △IDE 지침 파일 및 MCP 서버 등 AI 도구 연동 설정 검증 △위험 도메인 네트워크 차단 등 대응 방안을 공식 블로그를 통해 안내했다.
이스트시큐리티 보안기술연구소 관계자는 “AI 에이전트가 호출하는 외부 도구나 프로젝트 지침 파일까지 공격 경로로 활용되고 있다”며 “개발 환경 내부 민감정보에 AI가 불필요하게 접근하지 못하도록 권한을 최소화하고, 출처가 불분명한 AI 도구 연동이나 알 수 없는 지침 파일을 철저히 검증해야 한다”고 밝혔다.
[한세희 기자(hahn@boannews.com)]
AI 에이전트가 호출하는 외부 도구와 프로젝트 지침 파일 악용 시도
[보안뉴스 한세희 기자] 이스트시큐리티(대표 정상원)는 웹 및 탈중앙화금융(DeFi) 개발자를 겨냥한 악성 npm 패키지 공격 캠페인을 포착했다고 27일 밝혔다.
이 공격은 악성 패키지 설치에 그치지 않고, AI 개발도구가 읽는 프로젝트 지침과 AI 에이전트가 호출하는 외부 도구까지 공격 경로로 활용하려 한 점이 특징이다.
▲공격자가 배포한 npm 패키지 일부 화면 캡쳐 이미지 [출처: 이스트시큐리티]
이스트시큐리티 보안기술연구소는 특정 공격자 계정이 6일 동안 22종의 악성 npm 패키지를 배포한 사실을 확인했다. 공격자는 하드햇(Hardhat), Ethers.js, 파운드리(Foundry) 등 실제 웹3 개발 환경에서 널리 쓰이는 도구명을 사칭해 악성 패키지를 위장했다. 깃허브에서도 다수의 위장 저장소와 정적 페이지를 구성해 정상 프로젝트처럼 보이도록 했다.
AI 개발도구 사용 환경을 겨냥한 정황도 확인됐다. 공격자는 MCP 기반 보안 감사 도구처럼 보이는 패키지를 제작, 개발자가 AI 에이전트에게 환경변수나 자격증명 점검을 요청하는 상황을 노렸다. 이 도구엔 호출할 때 입력값이나 프로젝트 메타데이터를 외부 웹훅으로 전송하는 코드가 포함돼 있었다.
또 저장소 설정 파일에 악의적 지시문을 삽입, 프로젝트 지침이 AI 작업 맥락에 반영될 경우 민감 정보를 외부로 보고하도록 유도하는 수법도 확인됐다. 이는 악성 코드 실행뿐 아니라 AI 개발도구가 읽는 지침 파일 자체도 공격 경로가 될 수 있음을 보여준다.
이번 캠페인에선 로컬 AI 서빙 환경을 정찰 대상으로 포함한 코드도 확인됐다. 일부 패키지는 사람 또는 AI 에이전트가 후속 스크립트를 실행하도록 유도했다. 이 스크립트엔 내부 네트워크에서 실행 중인 Ollama, 오픈웹UI(Open WebUI) 등 AI 서비스 엔드포인트를 탐색하고 프롬프트 주입을 시도하는 코드가 포함됐다. 다만 이 코드엔 구현 오류가 있어 실제 주입 성공 여부는 확인되지 않았다.
일부 페이로드에서는 수집 데이터를 일반 HTTP 요청 외에 DNS 질의 형태로 외부 전송하려는 코드도 확인됐다. 이는 네트워크 탐지를 우회하려는 시도로 분석된다. 이 공격을 통해 노출될 위험이 있는 정보는 개인키, 암호화폐 지갑 복구 구문, 거래소 API 키, SSH 키, 환경변수 등이다.
이러한 위협은 이스트시큐리티의 ‘AI 기반 자율 보안 운영 시스템’의 선제 탐지 기술을 통해 포착됐다. 이스트시큐리티 보안기술연구소는 연관 악성 패키지를 추가로 식별해 관련 오픈소스 생태계에 신고 조치했다. 아울러 △패키지 설치 여부 전수 점검 △노출 가능성 있는 자격증명 교체 △IDE 지침 파일 및 MCP 서버 등 AI 도구 연동 설정 검증 △위험 도메인 네트워크 차단 등 대응 방안을 공식 블로그를 통해 안내했다.
이스트시큐리티 보안기술연구소 관계자는 “AI 에이전트가 호출하는 외부 도구나 프로젝트 지침 파일까지 공격 경로로 활용되고 있다”며 “개발 환경 내부 민감정보에 AI가 불필요하게 접근하지 못하도록 권한을 최소화하고, 출처가 불분명한 AI 도구 연동이나 알 수 없는 지침 파일을 철저히 검증해야 한다”고 밝혔다.
[한세희 기자(hahn@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
